Виявлення та протидія атак

Організація атак на відмову перенесла пік популярності в 2002 - 2003 роках, після чого на досить довгий період ця сфера діяльності була дещо призабута. Можливо це було пов'язано з тим, що відбувалась своєрідна зміна поколінь кібернетичних зловмисників. Ті люди, що займались атаками на відмову 4-5 років назад поступово переключились на більш «тонкі» способи зловмисної діяльності: розсилку спама, крадіжку даних, встановлення реклами. Нове покоління script-kiddies, які поки що не володіють достатніми знаннями для написання власних програм, використовують чужі розробки і діють методами грубої сили. Звідси і нинішній сплеск різних DoS-програм (+209%), які дозволяють організовувати атаки по всьому світу. Хоча кількісні показники цієї поведінки поки що невеликі, тенденція спостерігається досить чітка.

Пірингові мережі (Peer-to-peer networks), що використовуються для обміну інформацією і можуть включати сотні тисяч комп'ютерів останнім часом стають базою для здійснення надпотужних розподілених атак. Цей типатак почав з'являтися на початку 2007 року. За даними компанії Prolexic Technologies в атаках брало участь до 100.000 машин. Судячи з усього, потужність таких атак буде зростати.

Іншим напрямком можна вважати появу прихованих атак. Ці атаки поглинають пропускну здатність каналу жертви і можуть імітувати звичайних трафік. Поточні реалізації використовують досить прості моделі поведінки агентів-ботів , тому їх можливо протестувати та виявити. Але подальше ускладнення схеми дій може привести до появи нових небезпечних модифікацій.



3. Механізми захисту від атак на відмову

Взагалі кажучи , можна виділити три етапи захисту від атак на відмову: попередження атаки, виявлення атаки і протидія атаці. Задача попередження атаки полягає в здійсненні заходів протидії ще до початку атаки. Виявлення атаки полягає в детектуванні атаки на відмову в разі її появи ; це важливий етап, від якого залежать всі подальші дії. Протидія атаки включає комплекс дій щодо відбиття атакуючих пакетів і забезпечення нормальної роботи системи. Це заключна частина захисту і тому визначає загальну характеристику усього механізму. Іноді з етапу протидії виділяють окремо ідентифікацію джерел атаки, яка призначена для виявлення істинного місця здійснення атаки, незалежно від того звідки прийшов трафік. Основна проблема протидії атаці полягає в наступному: як відфільтрувати трафік атаки і не вплинути на трафік звичайних користувачів.

3.1 Попередження атаки

Попередження атаки полягає в зупинці атаки ще до того як вона почала ураження жертви. При розв'язанні цієї задачі вважається, що атакуючий трафік може бути сфальшований, тобто адресу джерела замінено на іншу, що дійсно має місце в багатьох реальних ситуаціях. Отже, необхідно розробити правила перевірки зворотної адреси і фільтрувати пакети на рівні маршрутизаторів. Фільтрація пакетів використовується для того, щоб пропускати тільки дійсний (не сфальшований) трафік. Це значно зменшує ймовірність появи атаки на відмову. Однак розробити правило фільтрації, яке б точно відрізняло сфальшований трафік від дійсного зовсім не просто. Більше того , деякі типи схем фільтрації вимагають для своєї ефективної роботи широкого впровадження по всій мережі. На жаль, мережа Інтернет являється відкритою спільнотою без центральних адміністративних органів, що робить впровадження таких схем нелегкою справою.

3.2 Виявлення атаки

Наступним кроком після попередження атаки є виявлення атаки. Для будь-якої схеми виявлення атаки показником ефективності є відсоток виявлення атак. При цьому потрібно враховувати, що виявлення атаки на відмову відрізняється від виявлення несанкціонованого вторгнення. Наслідком атаки є відмова в обслуговуванні, тому результат здійснення атаки досить легко визначити. Проблема полягає в виявленні в своєчасному і надійному виявленні місця і типа атаки. Ситуація ускладнюється тим, що хоча деякі типи атак використовують експлойти, вразливості програмного забезпечення, фальшування і специфічну форму пакетів, взагалі кажучи , всі ці ознаки не є обов'язковими умовами атаки на відмову. Певні типи атак імітують звичайний трафік і завантажують ним канали зв'язку. Тому будь-яка схема ризикує помилково прийняти інтенсивний звичайний трафік за атакуючий . Виникає питання - навіщо тоді потрібна система виявлення атаки? Для цього є декілька причин. По-перше, при вчасному виявленні атаки жертва може виграти час для виконання заходів з протидії та захисту своїх ресурсів. По-друге, виявлення атаки може допомогти ідентифікувати нападників. По-третє, якщо будуть швидко виявлені джерела атаки, трафік можна відсікти до того, як він завантажить пропускні ресурси системи.

При дослідженні питань функціонування механізму виявлення увага буде, в основному, зосереджена на тому, в яких випадках алгоритм допускає фальшиві виявлення (звичайний трафік приймається за атаку) та не виявлення (трафік атаки приймається за звичайний). В роботі [26] описані характеристики, що визначають появу фальшивих виявлень і не виявлень:

Рівень виявлення. Це основний рівень трафіку мережі, по якому здійснюється моніторинг. Рівнем виявлення може бути пакетний рівень, рівень потоків пакетів, рівень з'єднань мережі та рівень з'єднань програм.

Інформація, необхідна для виявлення атак. Це, як правило, статистичні дані, що отримані при моніторингу трафіку мережі або його вмісту. Інформація може включати заголовки пакетів, частоти пакетів для потоків/з'єднань або інформація про відкинуті пакети.

Особливості трафіку атаки. Це особливі параметри, значення яких використовуються для виявлення атаки. Фальшиве виявлення відбувається, якщо в звичайному трафіку присутні ці особливості. Не виявлення відбувається, якщо трафік атаки не містить цих особливостей.

Причини фальшивого виявлення/не виявлення. Це обставини, що можуть спричинити появу в звичайному трафіку особливостей атаки або в їх відсутність в атакуючому трафіку.

В широкому розумінні механізми виявлення можна розділити на три категорії: виявлення перевантажень, виявлення особливостей та виявлення аномалій. Виявлення перевантажень полягає в оцінці завантаження ланок мережі, ресурсів системи або системи в цілому. Досягнення певного рівня означає наявність атаки. Виявлення особливостей полягає в пошуку певних особливих характеристик, притаманним атакам на відмову і нехарактерних для звичайного трафіку . Можна виділити одновимірне (коли оцінюється одна характеристика) та багатовимірне (коли таких характеристик декілька) виявлення особливостей. Виявлення аномалій включає в себе побудову профілю нормального функціонування системи.

Виявлення перевантажень

Основною метою атаки на відмову є заблокування доступу користувачів до сервісу. Один з найпростіших способів досягти цього полягає в завантаженні каналів мережі, яка з'єднує сервіс з користувачами. Отже, якщо канали мережі перевантажені - це сильна ознака здійсненні атаки. Таким чином, для виявлення атаки потрібно розробити алгоритм, який би міг оцінювати завантаженість мережі та шукати причину перевантаження - мережевий потік або з'єднання. Такі алгоритми працюють ефективно якщо таке завантаження спричинив саме атакуючий трафік і при цьому є можливість аналізувати пакети завантаженої ланки. Фальшиве виявлення відбувається в разі, коли перевантаження викликано звичайним трафіком (наприклад великим напливом користувачів) і алгоритм не може виділити які потоки належать атаці. Не виявлення відбувається, якщо атакуючий трафік не спричиняє перевантаження (спрямовані, експлойтні або приховані типи атак). Механізм агрегованого керування перевантаженнями (Aggregate-based congestion control (ACC)) був запропонований в роботах [27, 28]. Даний механізм призначений для ослаблення потужності трафіку атаки на відмову або скупчення (flash crowd). При застосуванні даного алгоритму вважається, що трафік атаки - це велика кількість пакетів з одного або декількох потоків, які спрямовані на одну адресу. Алгоритм виявлення в механізмі ACC обчислює адресу жертви шляхом аналізу адреси доставки відкинутих роутером пакетів протягом коротких проміжків часу. Якщо кількість пакетів з однаковою адресою доставки перевищує певний поріг, то алгоритм поміщає цю адресу у список «підозрілих » адрес. На основі кількості відкинутих пакетів оцінюється потужність і частота загального потоку пакетів (одна з можливих реалізацій описана в [29]). Якщо частота перевищує пороговий рівень, АСС вважає, що відбувається атака на відмову. Ще один механізм захисту - Аукціонний динамічний шлюз розподілення навантаження (auction-based dynamic bandwidth arbitration gateway (ABA gateway)) описаний в роботі [30]. ABA gateway призначений для протидії атакам на відмову та скупченням і використовує економічні алгоритми розподілення трафіку, а саме - узагальнений аукціон Вікрі. При цьому розподіл трафіку між користувачами не фіксується жорстко а перерозподіляється динамічно в залежності від «запитів» клієнтів. Якщо клієнт починає надсилати значно більше запитів ніж очікується, його «кредит» вичерпується і його пакети не приймаються. Цікавий підхід описаний в роботі [31]. Для виявлення потоків, що забивають канал використовується схема затримки пакетів. Звичайний користувач , пакети якого затримуються, при цьому природно знизить частоту звернення до сервера, а нападник продовжуватиме надсилати пакети атаки. Можна також відзначити роботу [32], де в якості індикатора атаки використовується рівень завантаженості мережі. В цій роботі основна увага зосереджена на протидії атаці, при цьому аспекти виявлення не конкретизуються.

Виявлення особливостей

При проведенні атак використовуються слабкості протоколів, програм або принципів побудови мережі Інтернет. Ці слабкості, взагалі кажучи, не проявляються при звичайній роботі користувачів, хоча можуть бути причиною виняткових ситуацій. Тому трафік атаки, який активно використовує такі ситуації, містить особливі характеристики, невластиві звичайній роботі системи. Ця обставина дає можливість виявляти певні групи атак.

Можна виділити дві групи методів виявлення особливостей - одновимірні та багатовимірні [33]. Плюси одновимірного виявлення (алгоритми в яких відслідковується одна змінні - співвідношення кількість SYN і FIN пакетів [34] або загальна частота [35]) це швидкість роботи та стійкість до фальшивих виявлень. Причина використання багатовимірних алгоритмів полягає в тому, що типові поглинаючі атаки на відмову використовують велику кількість пакетів одного типу (ICMP flood, SYN flood, UDP storm та інші). Отже для найшвидшого виявлення таких атак доцільно розбити пакети на групи і проводити моніторинг цих груп окремо. Різкі зміни в розподілі пакетів кожної групи може швидко виявити атаку, в той же час зміни в змішаному трафіку можуть бути не такі виражені. З іншого боку багатовимірні алгоритми мають більшу швидкість обчислення. Крім того на їх роботу впливає значна кількість сторонніх факторів, що збільшує кількість можливих причин фальшивого виявлення/не виявлення.

Механізми виявлення особливостей, в основному, призначені для захисту від розподілених поглинаючих атак. Звичайною схемою таких атак являється засипання жертви великою кількістю трафіку. Чим більша потужність - тим сильніша атака. Оскільки жертва не може відповідати на весь цей трафік відношення вхідного потоку до вихідного сильно відрізняється від звичайного. По-друге, атакуючий трафік генерується випадковим чином, щоб приховати джерела атаки . По-третє, для відомих атак атакуючий трафік пов'язаний з ненормальною поведінкою джерел атаки. В 2001 році в роботі [36] була запропонована схема MULTOPS для виявлення атак на відмову шляхом моніторингу частоти вхідних і вихідних пакетів . MULTOPS працює з припущенням, що частоти передачі пакетів між двома комп'ютерами порівняна під час звичайних дій. Значна диспропорція цих частот є сигналом про можливу атаку. Недоліком MULTOPS є використання динамічної деревовидної структури для зберігання частоти пакетів по кожній адресі. Ця структура сама по собі може бути метою атаки поглинання пам'яті.

Інший підхід, що називається TOPS [37], надає ефективний метод для виявлення порушення балансу пакетів на основі схеми хешування, яка використовує лише невеликий набір таблиць. Такий підхід дозволяє уникнути ризику вичерпання пам'яті. Обидва методи розпізнають атаку на основі відстеження статистичних змін. При цьому вважаються виконаними два припущення. По-перше, що випадкова послідовність статистично однорідна. По-друге, що при атаці відбувається зміна статистичних параметрів трафіку. Взагалі кажучи, трафік атаки на відмову не є результатом роботи TCP протоколу, як у випадку звичайного трафіку . Тому трафік атаки має певні статистичні особливості, що відрізняються від трафіку нормальної роботи. На основі цього припущення, Ченг та ін . в роботі [38] запропонували використовувати спектральний аналіз для виявлення атак на відмову. При цьому, кількість пакетів, що прийшла протягом фіксованого інтервалу часу виконує роль сигналу. В спектральній густині потужності сигналу звичайного TCP трафіку будуть присутні сильні періодичні значення біля часу обертання сигналу між сервером та користувачем, що не характерно для атаки. Часто нападник здійснює атаку за допомогою великої кількості схожих пакетів (з однаковою адресою, протоколом, типом та ін.) надісланих з різних місць але спрямованих на одну ціль. Таким чином, в трафіку зустрічається багато схожих шаблонів. Однак, звичайний трафік, як правило, не сильно корельований і більше скидається на випадкову послідовність. Спираючись на ці особливості [39] було запропоновано алгоритм виявлення атаки на основі тесту Колмогорова. Ще один механізм був розроблений, виходячи з припущення про сильну корельованість між поведінкою трафіку і трафіком джерел атаки. Це схема виявлення атаки з використанням аналізу часових рядів [40]. Ця схема складається з трьох етапів. Перший етап полягає в виділенні ключових змінних. Наприклад кількість пакетів ICMP echo - ключова змінна для атаки Smurf. Другий етап полягає в використанні статистичного інструментарію (наприклад моделі авто регресії ) для виявлення змінних, що добре корельовано з ключовими змінними атаки. Наприклад кількість пакетів ICMP echo reply від нападників добре корелюється з ключовою для атаки Smurf змінною. Третій етап полягає в побудові нормального профілю з використанням статистичних даних. Будь-яка відмінність поточного профілю від нормального розцінюється як ознака атаки.

Всі схеми виявлення особливостей використовують одне чи більше припущень про трафік атаки. Виявляється, що кожне з цих припущень може бути використане для розробки контрзаходів і уникнення виявлення. При розробці алгоритму MULTOPS припускається, що частота вхідних пакетів пропорційна частоті вихідних пакетів. Але це невірно, наприклад, для аудіо/відео потоків. Тому для серверів онлайнових новин, фільмів або музики така схема буде призводити до хибних виявлень. Крім того, MULTOPS вразливий для атак з випадково сфальшованими IP адресами джерел. При таких атаках обчислення для кожної адреси займають ресурси і пам'ять і при цьому не мають ніякого практичного наслідку. Інший спосіб протидії полягає в встановленні великої кількості легальних ресурсоємних з'єднань (з використанням ботнет), наприклад, завантаження файлу через ftp-з' єднання. В цьому випадку відношення частот буде близьким до звичайного і не буде виявлено. Техніка спектрального аналізу застосовна лише для потоків TCP протоколу. UDP і ICMP протоколи продукують неперіодичні трафіку. Крім того, поведінка захоплених комп'ютерів може бути запрограмована на імітацію легітимного трафіку. Ще одна слабкість схеми полягає в тому, що ефективність її полягає в навчанні на відомих типах атак. Як тільки нападник винаходить новий спосіб атаки схему потрібно перелаштовувати.

Оскільки атаки на відмову в загальному випадку не потребують використання певного типу трафіку, то нападник може створювати атаку комбінуючи різні типи. Координуючи дії своїх агентів вони можуть змінювати випадковим чином частоту, об'єм та тип трафіку для кожної машини. Таким чином, ефективність техніки виявлення атак на відмову може бути охарактеризована в термінах складності реалізації та обґрунтованості базового припущення.

Принципово нова схема виявлення атак на основі моніторингу IP адрес була запропонована в роботі [41]. Зазвичай, множина IP адрес, що з'єднана с сервером протягом звичайних операцій залишається приблизно постійною. При здійсненні атаки на відмову абсолютна більшість адрес джерел атаки раніше не з'являлася на даному вузлі. Використовуючи попередньо побудовану базу даних IP адрес можливо відслідковувати відношення нових адрес до звичних і виявляти різку зміну за допомогою статистичного тесту Накопиченої суми (Cumulative Sum (CUSUM)) [42]. Різка зміна долі нових адрес являється сильною ознакою здійснення атаки на відмову. Пізніше цей алгоритм було модифіковано для системи розподіленого виявлення [43].

Аналіз аномальної поведінки

Результатом виконання атаки на відмову є порушення нормальної роботи системи. При цьому характеристики роботи системи сильно змінюються, виникають незвичні аномальні відхилення. Методика виявлення аномальної поведінки призначена для відстеження параметрів функціонування системи та пошуків шаблонів поведінки, що відрізняються від нормальної роботи системи. В 1987 в роботі Деннінг [44] була вперше запропонована модель виявлення вторгнень в комп'ютерну систему. Основна її ідея полягала і тому, що «...використання слабостей системи спричиняє неналежне її використання, тому порушення безпеки можуть бути виявлені шляхом використання шаблонів анормальної поведінки системи». З того часу методи виявлення аномальної поведінки стали важливим напрямком досліджень, що зумовлюється їхньою здатністю виявляти нові типи атак, в тому числі і атаки на відмову. При розв'язанні задачі розпізнавання аномалій виникають супутні задачі виявлення та оцінки раніше невідомих типів атак та вторгнень. Це призводить до необхідності здійснення наступних кроків:

Побудова певної еталонної множини нормального функціонування процесів в умовах невизначеності зовнішніх та внутрішніх подій.

Встановлення каналів вимірів множини параметрів, що характеризують протікання процесу.

Встановлення необхідних та достатніх інформативних ознак функціонування.

Побудова правил розпізнавання аномалій.

Існує декілька підходів до побудови систем виявлення атак на основі аналізу аномальної поведінки. Кожен з них пов'язаний з деякою математичною технікою. Можна виділити методи статистичного аналізу, аналізу відхилень, продукування асоціативних правил, нейронні мережі, пошук кореляцій і кластерізацю. Застосування кожного з цих підходів базується на одному або декількох припущеннях про природу явищ, що відбуваються при вторгненні у комп'ютерну систему. Однак припущення, вірні ще років десять назад, при бурхливому розвитку мережевих технологій, можуть виявитися не зовсім вірними - це призводить до фальшивих виявлень або не виявлень вторгнень.

Базове припущення полягало в тому, що атаки складаються з незвичного використання системи і тому вони суттєво відрізняються від типової роботи з системою. Тобто вважається, не тільки, що атаки супроводжується аномальною поведінкою системи, але також , що аномальну поведінку легко можна відрізнити від звичайної. В роботі [45] здійснена спроба узагальнити і описати існуючі припущення, на основі яких функціонує більшість систем виявлення аномалій. Виділяється три групи припущень.

Припущення предметної області:

атаки є аномальними.

атаки є рідкісною, надзвичайною ситуацією.

аномалії шкодять функціонуванню системи.

Наявність хороших навчальних даних надзвичайно важливе для побудови системи виявлення. Якщо система буде навчена на «поганій» вибірці даних в результаті може підвищиться рівень фальшивих виявлень/не виявлень. Загальні припущення навчальних даних полягають в наступному:

записи атак є вільно доступними.

дані, отримані шляхом імітаційного моделювання є репрезентативними.

трафік мережі є статичним процесом (тобто процесом, певні статистичні характеристики якого постійні).

Після побудови системи виявлення відбувається її тестування для оцінки відсотка фальшивих виявлень (не виявлень). Після чого шукаються шляхи його зменшення. Основними припущеннями якості функціонування системи є:

відсоток фальшивого виявлення в межах 1..10% є прийнятним.

визначення аномальної поведінки не залежить від мережі. (аномалії є універсальними)

адміністратори можуть інтерпретувати аномальні явища, що виникають при функціонуванні мережі.

Тепер перейдемо до огляду підходів побудови систем виявлення. Нейронні мережі часто використовуються для побудови систем виявлення вторгнень. В даному випадку нейронна мережа використовується для оцінки «аномальності» трафіку. На першому етапі виділяються змінні, що описують поведінку системи. Одна з можливих множин, описана в роботі [46]. Основу спостереження складають потоки даних (flow). Кожен потік характеризується п'ятьма параметрами : <protocol, source IP, source port, destination IP, destination port>. Крім того по кожному потоку обчислюються наступні метрики:

Довжина потоку. Кількість пакетів, що складають потік.

Час існування потоку. Час, протягом якого потік залишається активним. Частота потоку. Це частота трафіку, що надсилається в рамках потоку . Ці параметри служать входом мережі. Виходом є одна змінна, що приймає значення від 0 до 1, і характеризує відсутність або наявність атаки відповідно.

В роботі [47] висловлюється припущення, що користувачів сервісу можна розділити на три різні типи, кожен з яких може бути характеризований своїми типовими запитами. Отже, можна побудувати профілі поведінки з використанням методів кластерізації, наприклад, методу К-середніх. Побудова системи складається з трьох етапів: побудова шаблонів поведінки , обчислення відстані від сесій до кластерів, фільтрування підозрілих сесій (тих, що віддалені від кластерів нормальної поведінки) . Система виявлення аномалій на основі аналізу відхилень представлена в роботі [48]. Основний параметр, що використовується для моніторингу - кількість пакетів вхідного (вихідного) трафіку за одиницю часу. Якщо трафік сильно відхиляється від середньозваженого значення - це ознака анормальної поведінки. Введемо змінну x(t,i) , яка описує кількість пакетів, що прийшов протягом часу t на портi , та X (t,i) - оцінка середньої кількості пакетів. Тоді відхилення від середини

(deviation from the average (DFA)) обчислюється за формулою:

DFA ? x(t,i) , X (t,i)

X (t,i) ? (1 ? б )X (t ? 1,i) ? б ? x(t,i) ,

де 0 ? б ? 1 . Якщо значення DFA перевищує певне порогове значення, це є ознакою атаки. В роботі також досліджуються різні шаблони проведення атаки, та можливі відповідні їм зміни DFA вхідного і вихідного потоків. Широке коло методів виявлення пов'язано з процедурами статистичного аналізу. Взагалі кажучи, представлення трафіку у вигляді випадкового процесу - надзвичайно складна задача. Один з можливих підходів описаний в роботі [49], де показується, що щільність розподілу випадкової змінної x , яка описує кількість пакетів за інтервал часу , може бути задовільно представлена гамма-функцією:

Вимірюючи характеристики трафіку протягом певних інтервалів часу можна оцінити його статистичні параметри б , в . Таким чином, можна обчислювати відстань від оцінених та отриманих з моделі розподілу величин. Якщо ця відстань стає більшою за певне порогове значення - це свідчить про аномальну поведінку. В роботі [50] використовується коваріаційний аналіз. Вибирається множина параметрів, що характеризує трафік. Ця множина параметрів утворює вектор випадкових змінних, що змінюються протягом часу. Потім обчислюється матриця коваріації. Деякі параметри мають сильний взаємозв'язок - наприклад кількість пакетів SYN та FIN (перші починають TCP-з'єднання, другі закінчують). Суттєві зміни в коваріаційній матриці означають аномалії у трафіку. Ідея розкладення потоку пакетів на сигнали різних гармонік описана в роботі [51]. Пропонується виділяти низькі, середні і високі частоти . Їх поведінка та взаємне розташування може показувати характеристики аномальних ситуацій, що виникають. Подальший розвиток ця ідея отримала в роботі [52]. Автори розкладають трафік на три змінні, що залежать від часу - байти, пакети та IP-потоки. Далі, використовуючи аналіз основних компонент виділяються «власні потоки» - найбільш значимі гармоніки. Після вибору перших n потоків ми отримаємо шаблон поведінки трафіку . Різкі відхилення від шаблону - піки на одному або всіх трьох рівнях вимірів може означати аномалії. Для обчислення відстані відмінності між поточним трафіком та нормальним також часто використовуються статистичні метрики, такі як тести ч2 або Колмогорова-Смірнова [53, 54]. Якщо відстань перевищує певне пирогове значення, то формується сигнал про атаку.

Користуючись прикладом людської імунної системи Форест і Хофмеір [55] розробили систему захисту мереж, яку назвали Lightweight Intrusion detection SYStem (LISYS). При її побудові використовувалась ідея штучної імунної системи (ШІС). Базова ідея LISYS отримала подальший розвиток [56]. Загальна побудова такої системи захисту складається з наступних етапів. Спочатку з кожного IP пакета вибирається рядок, що його ідентифікує. Часто вибирають стандартний набір характеристик: тип протоколу, тип пакета, адреса джерела , адреса одержувача та порт. На другому етапі обчислюються відносні частоти пакетів. Пакети, що зустрічаються регулярно визнаються нормальними. Далі будується детектор, який може відрізняти послідовності нормальних пакетів . Якщо послідовність вхідних пакетів відрізняється від нормальної більше ніж певне порогове значення формується сигнал про виявлення атаки.

3.3 Протидія атаці

Після виявлення атаки настає етап протидії. Власне, це ключовий етап функціонування системи захисту, оскільки від ефективності її роботи залежить вся робота системи, на яку здійснюється атака. Конкретні алгоритми протидії можуть використовувати різноманітні особливості роботи протоколів або припущення про нормальне функціонування системи, але їх можна розділити на певні групи за місцем розміщення, використанні захисних механізмів і взаємодії з елементами мережі. Виділимо наступні моделі захисту:

Кінцевий Користувач (КК). КК модель - це звичайний спосіб розміщення системи захисту, при якому трафік аналізується локально на машині жертви. Виявлення атаки при цьому має відбуватися швидко і надійно. Ключовим елементом протидії є знаходження IP адрес, причетних до атаки та фільтрування пакетів, що надійшли з цих адрес.

Роутер-Користувач (РК). Дана модель аналізує трафік атаки в декількох точках. Протидія починається з сигналу про атаку від жертви і підтримується взаємодією роутерів, які передають трафік. Тут важливо відмітити два ключових моменту. По-перше, ідентифікація джерел атаки використовує додаткову інформацію пакетів, яку внесли роутери при проходженні через них. По-друге, роутери за сигналом починають фільтрацію пакетів якомога ближче до джерел атаки. Для впровадження цієї моделі роутери мають застосовувати маркування пакетів (маркер включає шлях надходження пакета) та підтримувати можливість фільтрації пакетів за командою.

Роутер-Роутер (РР). Модель РР - це розподілена модель захисту, яка виявляє і протидіє атаці за допомогою обміну інформацією між роутерами. Основна мета полягає в тому, щоб заблокувати атакуючий трафік до того як він почне завантажувати ресурси мережі і користувачів.

Як було описано, атаки на відмову діляться на певні категорії. Відповідно розділяються і методи протидії. Експлойтні і спрямовані атаки, які спрямовані на певні слабкості програмного забезпечення відбиваються виправленнями, які виходять, як правило, відразу після виявлення вразливості . Набагато складніше протидіяти поглинаючим атакам, які не використовують спеціальних пакетів. Метою такої атаки є переповнення пропускних ресурсів мережі або сервера. Це може досягатись за рахунок перевантаження так званих «вузьких місць» - найслабше захищених ділянок мережі. Отже, для негайного зменшення збитків від атаки потрібно захистити ці вузькі місця від перевантаження і хоча б частково відновити роботу системи. Одним з перших підходів до вирішення цієї проблеми було резервування додаткових потужностей з залученням їх у критичних ситуаціях. Однак, з ростом потужності атак стало зрозуміло, що потрібні інші методи. На сьогоднішній момент існують два основних способу використання керування пропускними ресурсами для протидії атаці. Це керування ресурсами вузла, яке впливає на роботу комп'ютера та керування ресурсами мережі, яке впливає на роботу каналів мережі. Керування ресурсами вузла включає в себе моніторинг вхідних пакетів, відкритих з'єднань, потоків даних по користувачам тощо. Схема протидії може застосовувати примусове зниження частоти пакетів, відкидання окремих пакетів, знищення відкритих з'єднань, керування профілями користувачів. В роботах Пенга пропонується обчислювати відсоток завантаження мережі для кожного користувача та відсоток «нових» користувачів порівняно з базою даних за попередні два тижні. При виявленні атаки відсікаються або користувачі, що завантажують мережу більше за всіх або всі «нові» користувачі, що дозволяє протидіяти як сильно розподіленим атакам з сфальшованими адресами так і поглинаючим атакам з декількох вузлів. При цьому припускається, що кількість нових користувачів об'єкту захисту постійна та значно менша ніж кількість нових IP адрес під час атаки. Інша група механізмів пов'язана з авторизацією користувачів. При початку атаки вводиться в дію система підтвердження з' єднання наприклад з використанням графічного зображення літер, обміну з зареєстрованими користувачами спеціальними квитками авторизації. Широке застосування отримали різні методи фільтрації, які дозволяють відсікти сфальшовані пакети атаки або принаймні значно послабити їх ефект.

Керування ресурсами мережі є більш складною задачею , оскільки мережа спільно використовується великою кількістю користувачів. Тому описані в літературі підходи описують різні способи класифікації трафіку по окремим групам, та способів керування їх фільтрацію. Керування пропускними здатностями може розглядатися як перший етап протидії, оскільки ця група методів не розв'язує основної проблеми - знаходження та знешкодження джерел атаки. Для ефективної протидії необхідно відсікати атакуючий трафік на підході до об'єктів захисту - якомога ближче до джерела. Для цього пропонується впровадження схем взаємодії між роутерами а також алгоритми фільтрації пакетів на основі інформації, збірної локальними агентами захисту системи виявлення. Ця група методів називається протидія атакам на відмову на основі мережі.

Протидія на основі вузла. Ще одним підходом , який реалізує модель КК є схема D-WARD, розроблена Е.Мірковіч. D-WARD збирає статистику потоків пакетів на основі постійного моніторингу вхідного і вихідного трафіку між вузлом і мережею Інтернет. Статистика включає співвідношення вхідного і вихідного трафіку, кількість з' єднань по користувачам тощо. Періодично відбувається звірка з еталонною моделлю, побудованою для кожного з типів трафіку. Ситуація не схожості параметрів для певного потоку може класифікуватися як атака, в результаті чого дане з'єднання може фільтруватися або обмежуватися по частоті.

Мультиагентні системи протидії атакам на відмову

Мультагентні системи виявлення і захисту - це напрямок, що з'явився порівняно недавно. Розподілені системи програмних агентів застосовуються для розв'язання різноманітних задач керування, планування , розподіленого прийняття рішень та інших. Існують різні способи визначення поняття агента, іноді досить загальні . З огляду на область застосування, будемо розглядати програмних агентів, під якими будемо розуміти програми, що можуть автономно працювати на досягнення певної мети та взаємодіяти з іншими агентами та середовищем. При цьому вважається, що агенти мають наступні властивості:

- Автономність: агенти є незалежними сутностями, що функціонують (в ідеалі) без втручання людини.

- Мобільність: агенти можуть переміщуватися на іншу платформу без зупинки функціонування.

- Раціональність: агенти мають здатність до розв'язання задач.

- Реактивність: агенти здатні сприймати середовище та динамічно реагувати на зміни в ньому.

- Здатність до взаємодії: агенти здатні обмінюватися знаннями для досягнення спільної мети.

Використання програмних агентів для побудови системи здатне істотно підвищити характеристики роботи системи виявлення і протидії. Застосування агентної а не ієрархічної архітектури дозволяє:

Зменшити завантаженість мережі.

Зменшити час реакції.

Забезпечити асинхронність виконання.

Забезпечити динамічну адаптацію.

Забезпечити робастну поведінку.

Забезпечити масштабованість. Мультиагентна система - це система, яка складається з програмних агентів, що можуть взаємодіяти між собою та кооперуватися для досягнення загальної мети. При здійсненні організованої взаємодії багатьох агентів система отримує нові властивості, що дають змогу розв'язувати складні задачі виявлення і протидії. Наприкінці 90-х років були розроблені розподілені системи виявлення, які використовували різні схеми агрегації даних. Ці дослідження стали основою для подальшого розвитку мультиагентних систем. Приведемо коротку характеристику найбільш відомих систем.

Система GrIDS (Graph Based Intrusion Detection System) [62], яка була розроблена в каліфорнійському університеті, представляє собою ієрархічну графоподібну структуру, орієнтовану на збір і аналіз розподілених даних в великих мережах. Модулі, що працюють на вузлах мережі, забезпечують збір даних та їх передачу спеціальному модулю. Цей модуль будує граф активності мережі, який і являється основним об' єктом аналізу. Проект EMERALD [63], розроблений в науковій комп'ютерній лабораторії SRI International пропонує схему розподіленого виявлення, яка не тільки виявляє атаки але й здійснює заходи по протидії. При цьому EMERALD працює на виявлення аномалій і на виявлення особливостей. Схема виявлення ієрархічно розподілена та може доповнюватися додатковими модулями. При цьому враховуються кореляції між аналізом результатів, отриманими на нижчих рівнях ієрархії і даних з вищих рівнів. Архітектура AAFID [64] (Автономні Агенти Для Виявлення Вторгнень) є розподіленою системою , в яку входять незалежні елементи або автономні агенти. Ці агенти можуть виконувати певні функції та динамічно додаватися або видалятися без необхідності пере запуску усієї системи. Схема Indra [65] (Виявлення Вторгнень і Швидка Протидія) пропонує систему з окремих програм-агентів, запущених на вузлах мережі. Ці агенти обмінюються інформацією про спроби вторгнень і формують зону довіри мережі. Система IDA [66] використовує концепцію мобільних агентів для пошуку справжнього нападника серед атакуючих ботів, що виконують атаку. IDA використовує сенсори, які присутні в кожній цільовій системі і агентів-слідчих, які можуть рухатися по мережі і збирати інформацію про атаку з локальних сенсорів. Система MINDS [67] - це IDS система, яка використовує виявлення особливостей і аномалій та може використовуватися для захисту окремих вузлів і всієї мережі. В якості вхідної інформації використовуються дані про потоки пакетів, які оновлюються кожні 10 хвилин. Виявлення особливостей використовується для захисту від відомих типів атак, аномалії використовуються для виявлення незвичних потоків трафіку . Оператор вирішує які з цих потоків дійсно зловмисні і може використовувати виділену системою інформацію для формування правил фільтрації трафіку такого типу. SABER [68] використовує поєднання обох підходів до виявлення (аномалії і особливості) і механізмів захисту. Система включає побудову топології мережі, стійкої до атак на відмову, яка захищає важливі ресурси від зловмисного трафіку.

В результаті розробки мультиагентних систем були створені загальні алгоритми, що використовуються при побудові систем захисту. Приведемо їх загальну характеристику.

Розподілене виконання задач. Збалансоване розподілення процесів моніторингу в мережі важливе для децентралізації процесу прийняття рішень і збору даних про роботу мережі. Це типова проблема теорії мультиагентних систем, яка в різних варіантах досліджувалась різними авторами ( наприклад [69]) . Алгоритми розподілення задач використовують різні аукціонні методи [70], кожен з яких має особливості і пристосований до певного середовища. Найбільше розповсюдження отримав підхід на основі CNP (contract-net-protocol) [71] та його розширення [72, 73, 74]. Ця група алгоритмів успішно застосовується в мережевих середовищах.

Методи адаптації. Дана область мультиагентних систем зв'язана з спеціальними методами досягнення найліпшого часу роботи множини автономних обчислювальних процесів за допомогою переміщення агентів або зміни їх функціонування.

Зміна місця виконання коду агента або місця збереження його даних без зміни самого агента називається переміщенням [75]. Виділяють два типи переміщень: слабку - агент переміщується з одного хоста на інший з власної ініціативи, і сильну - коли його до цього змушують зовнішні обставини.

Мультиагентна реакція. Здатність агенту розуміти процес виконання програм та реагувати на його зміни зміною своєї поведінки це правило називають реакцією. В мультиагентних системах виділяють три типи реакції:

Індивідуальна реакція, яка враховує внутрішню інформацію агента.

Взаємна реакція. Розширення індивідуальної реакції за допомогою інформації про інших агентів: репутації, довіри, рівня взаємодії та іншої.

Колективна реакція - це зміна поведінки групи агентів, яка зачіпляє процеси взаємодії. В цьому випадку виникають ланцюгові ефекти, коли зміна поведінки одного агента спричиняє реакцію зв'язаних з ним систем. Моделі довіри. Моделі довіри - основний підхід до побудови захисту

високого рівня в області мультиагентних систем. Моделі довіри застосовуються в системах виявлення вторгнень у двох напрямках: для моделювання рівня довіри джерела трафіку і для захисту системи від несанкціонованого використання.

Реалізація моделі довіри може здійснюватися двома шляхами. Одні, переважно старі архітектури використовують централізовану модель , коли всі агенти контактують з єдиною моделлю. Хоча в такого способу є певні переваги, наприклад, швидке навчання і ефективне використання пам'яті, він вимагає постійного взаємозв'язку всіх агентів з центральною моделлю. Це суттєво обмежує розмір мереж, для яких такий метод може бути ефективно впроваджений. Останні розробки використовують підхід, коли кожний з агентів підтримує свою модель, та обмінюються інформацією про поточні рівні довіри.

Перейдемо до опису загальної архітектури мультиагентної системи. Програмні агенти (ПА) - це автономні програми, що можуть діяти автономно і незалежно виконувати різні завдання. Також їх визначають як програмні

сутності, які безперервно і автономно функціонують в певному середовищі, та можуть змінювати свою поведінку в залежності від змін в середовищі.

Використання агентної архітектури надає системі певні переваги:

Зменшення часу реакції - оскільки агенти функціонують на кожному хості, де потрібне виявлення, то час реакції агентної системи буде менше ніж у ієрархічної системи, де рішення приймається центральним координаційним елементом.

Автономність роботи - якщо певна частина системи виявлення вийде з ладу, вся мережа не залишиться незахищеною, оскільки агенти можуть функціонувати незалежно від інших елементів.

Динамічна адаптація - система може змінювати свою конфігурацію під час роботи, оскільки агенти можуть самі змінювати свою поведінку.

Статична адаптація - якщо в результаті появи нових атак з'явились нові алгоритми поведінки агентів, то поведінка агентів може бути перенавантажена без необхідності перенавантаження всієї системи.

Масштабованість - розширення системи захисту відбувається природнім чином, за рахунок агентної структури.

Використання агентів надає можливість застосування концепції розподілених обчислень, коли кожен з агентів функціонує автономно але в той же час взаємодії з іншими вузлами . Можна визначити три технології застосування агентів в системах протидії атакам на відмову:

На основі слабо розподіленої архітектури. В цьому серед агентів вибирають агента-менеджера, який акумулює інформацію від агентів-сенсорів і приймає рішення для здійснення заходів по протидії.

На основі сильно розподіленої архітектури. В цьому разі агенти функціонують автономно, без координуючого менеджера, але можуть обмінюватися інформацією для більш ефективної роботи.

На основі автономної роботи. В цьому випадку агенти націлені на виявленні атак у своїх зонах відповідальності. При цьому вони не взаємодіють і не координують свої дії.



4. Концепція системи протидії атакам на відмову

При побудові системи протидії атакам на відмову перед розробником вже на першому етапі виникають фундаментальні проблеми, пов'язані з специфікою предметної області. Серед них можна виділити дві найбільш важливі на наш погляд:

Поява нових видів атак. Як показує практика останніх років, нові атаки виникають постійно. При цьому вони ускладнюються, інтелектуалізуються і стають більш небезпечними.

Зміна характеристик системи, що підлягає захисту, які не пов'язані з діяльністю зловмисників (розширення, реконфігурація та ін.). Як було описано вище, при побудові кожної системи захисту використовуються

певні припущення про роботу системи. Якщо відбувається зміна роботи системи, то ці припущення можуть виявитися невірними.

Отже, важливою задачею є дослідження підходів, які дозволяють зменшити негативний вплив вказаних факторів. Одним з підходів до побудови є використання принципів агентної архітектури. Основні етапи підходу, що пропонується, полягають в наступному:

Побудова профілю системи. Проводиться аналіз роботи системи. Виділяються ключові параметри функціонування. Описуються характеристики нормальної і аномальної роботи.

Оцінка сценаріїв атаки. Будується модель взаємодії системи з користувачами. Описується зв'язок характеристик роботи і дій користувачів. Виділяються типові сценарії атаки.

Побудова системи виявлення і протидії. Вибираються конкретні алгоритми виявлення, які можуть бути ефективно застосовані для даної системи. Описуються основні параметри та їх вплив на достовірність виявлення. Визначаються алгоритми протидії, що можуть бути застосовані.

Визначення поведінки агентів. Визначення алгоритмів роботи агентів: взаємодії, виявлення, протидії. Розробка механізмів оновлення і налаштування.

4.1 Побудова системи виявлення і протидії

Наступним кроком побудови системи є створення агентів виявлення і протидії. Ці агенти - головний механізм практичної роботи системи, оскільки вони забезпечують реальні виміри, спостереження і дії, спрямовані на відбиття атаки.

Протягом останнього часу було розроблено значна кількість розподілених систем виявлення, які використовують різні типи і архітектуру агентів, однак можна виділити деякі загальні принципи. Загальний вигляд розподіленої системи, яка використовує кооперацію агентів буде містити наступні елементи:

Агенти виявлення і протидії (АВП) - інтелектуальне ядро системи. Вони розташовані на відповідних вузлах або елементах мережі та відповідають за аналіз трафіку, виявлення атаки та планування протидії. При цьому використовуються різні алгоритми виявлення. Прийняття рішення щодо протидії залежить від налаштувань користувача.

Сенсори мережі (СН) - спеціалізовані агенти, які можуть оглядати трафік мережі та виконувати низькорівневий аналіз, виміри ключових параметрів та їх передачу АВП. Також можуть виявляти відомі сигнатури зловмисного трафіку та повідомляти про атаку. Сенсори вузлів (СВ) - агенти, що розташовані на вузлах мережі (хостах, роутерах). При виявленні загрози вторгнення повідомляють АВП.

Кожний тип агентів має свою зону повноважень та покладені на нього функції. На рисунку 12 показана загальна архітектура . Мережа - тут мається на увазі система, що спостерігається - поділяється на дві частини - елементи мережі та вузли мережі. Під елементами мережі розуміються ланки, роутери, маршрутизатори та інші частини обладнання . Під вузлами мережі розуміються сервери або окремі комп'ютери, з'єднані з мережею. При цьому існує програмна можливість впливати на роботу мережі за допомогою системи керування . Це може бути настройка профілей користувачів, правил обробки пакетів та інші засоби протидії.

Функціонування агентів має три принципові режими:

навчання

моніторинг

протидія

На етапі навчання агенти СВ і СМ оглядають трафік мережі та визначають характерні особливості потоків мережі . На їх основі відбувається обчислення параметрів, необхідних для побудови еталонної моделі. Зібрана інформація передається АВП. АВП використовують отриману інформацію для розширення та настройки базових моделей виявлення атак. При цьому вибір моделей визначається конкретними характеристиками та специфікою мережі, що підлягає захисту. Кожний з АВП використовує одну з моделей виявлення, розширену і пристосовану для виявлення конкретних особливостей. При агенти заємодіють між собою, обмінюючись інформацією. Це дозволяє швидко налаштовувати систему для виявлення конкретного типу атак.

Другий етап полягає в моніторингу роботи мережі і виявленні ознак атаки. Для цього всі алгоритми виявлення розділяються на низько та високо рівневі. Агенти СВ і СМ - повинні оперативно реагувати на зміни і тому можуть використовувати тільки прості і швидкі алгоритми. Агенти АВП ведуть роботу з вже виміряними показниками і можуть застосовувати історичний аналіз, розрахунок трендів. Для них важлива надійність і точність результатів. Тому для цих агентів застосовуються алгоритми типу CUSUM, ковзного середнього, системи порогів і правил.

При виявленні атаки починається третій етап - протидія.



4.2 Задача визначення поведінки агентів

Важливою частиною системи виявлення і протидії є її інтелектуальне наповнення - алгоритми поведінки агентів. Головною метою системи агентів являється протидія атаці. Звичайно, що досягнення мети для системи агентів розбивається на окремі задачі для кожної групи . Задачі, що повинні розв'язувати агенти діляться на фонові і активні. До фонових завдань відносяться: навчання, спостереження за системою, виявлення; до активних - протидія атаці.

При побудові алгоритму потрібно визначити

Етап виявлення параметри, що спостерігаються ;

алгоритми виявлення;

схема прийняття рішення про здійснення атаки;

Етап протидії стратегії протидії;

ключові настройки;

Етап навчання алгоритми навчання;

Зупинимось окремо на кожному з цих етапів.

Етап виявлення. На етапі виявлення завданням агента є спостереження за системою та пошук відхилень і аномалій у її роботі. Для цього використовується множина параметрів, на основі яких відбувається виявлення, один або декілька алгоритмів виявлення та схема інтерпретації результатів роботи алгоритмів - в разі якщо атака не може бути визначена на базі тільки одної ознаки. Мультипотокове виявлення - нова властивість, що з' являється в агентних системах. В разі коли атаки відноситься до нового типу, або прихована в звичайному трафіку пряме виявлення шляхом моніторингу змін одного з параметрів не може бути ефективним. Тому застосовується алгоритм, що комбінує дані з декількох каналів. Співставлення характерних змін в усіх потоках даних забезпечує більш точне і гнучке виявлення. Узгодження інформації, отриманої з різних джерел, також становить важливий клас задач.

Етап протидії. На етапі протидії перед агентами стоїть задача реакції на зовнішню атаку. Ідеальна протидія включає в себе аналіз активності нападника, виключення його доступу до мережі, усунення наслідків атаки та пере налаштування системи для кращої протидії можливим майбутнім атакам такого типу. Для досягнення цієї мети потрібно забезпечити можливості:

а) динамічного керування властивостями мережі, системи та параметрами доступу користувачів;

б) розпізнання атакуючих комп'ютерів;

в) моніторингу вхідного і вихідного трафіку

Слід також враховувати наслідки застосування різних стратегій протидії, оскільки неправильне визначення типу атаки може призвести до відмовлення у доступі законним користувачам.

Етап навчання.

Для тестування системи виявлення і протидії необхідно розробити полігон, на якому реалізувати типові атакуючі ситуації, аномалії та несподівані події. Аналіз реакції агентної системи дозволить правильно налаштувати її параметри і гарантувати надійність її роботи.



Висновки

В роботі розглядаються питання захисту від одного з найбільш небезпечних видів зловмисної діяльності в мережі Інтернет - атак на відмову. Описана історія виникнення проблеми та причини, що зумовили її появу. Проведено огляд основних типів атак на відмову, їх класифікація і основні характеристики. Досліджені існуючі на сьогоднішній день механізми захисту, описані їх основні характеристики. Система протидії або захисту від атак на відмову має вирішувати наступні задачі: попередження атаки, виявлення атаки, ідентифікація джерел атаки, протидія атаці. Задача виявлення атаки полягає в детектуванні атаки на відмову в разі її появи, це важливий етап, від якого залежать всі подальші дії. Тому алгоритмам виявлення надається велике значення. У роботі розглядуються відомі алгоритми виявлення атак, що дозволяють швидко аналізувати дані як з одного, так і з багатьох каналів спостереження.

Одним з перспективних напрямків розвитку є побудова систем захисту на основі мультиагентних систем. Багатоагентні системи являються найбільш мобільними, крім того вони мають додаткові особливості, такі як, наприклад, розподіленість, можливість працювати в умовах непередбачуваних змін як мережі так і зловмисної діяльності, виявлення і документування значимих подій, навчання, аналіз зібраної інформації, планування дій, автономність, адаптивність. В роботі описується загальна архітектура такої системи, склад і основні задачі її елементів. Основним результатом даної роботи є концепція підходу до побудови системи захисту з використанням інтелектуальних агентів. В роботі описана архітектура та основні принципи роботи такої системи.



Список використаних джерел

1. Хелеби С., Мак-Ферсон Д. Принципы маршрутизации в Internet. Изд-во:

2. Вильямс, 2001, 448 с.

3. http://www.cert.org

4. http://en.wikipedia.org/wiki/Cyberattacks_on_Estonia_2007

5. Eisenberg T. et al. The Cornell Commission on Morris and the Worm // Comm. ACM, vol. 32, N 6, June 1989, pp. 706-710.

...